网络生活-技术及随笔

买了一个linksys WRH54G

留下评论

Linksys WRH54G main page 

今天帮同事去村里买无线路由器,顺便给自己也买了一个。我是比较喜欢Linksys品牌的,在linksys刚刚进入国内市场的时候我就买过它的无线产品。

WRH54G是linksys今年新出的一种家用无线路由器,以前我用过WRT54G。在网上搜索了一下WRT54G和WRH54G的区别,似乎大多都在做广告,也没看到什么实质的内容。

买回家把所有的功能试用了一下,感觉除了样子(颜色,大小,少了一个外置天线,把WAN连接的标示修改为Internet)的区别之外,还有下面几个区别:

  1. GUI界面,多了一个“首页”可以做快速设置,也可以做高级设置(也就是进入类似WRT54G的配置界面)
  2. 无线信号支持定时发射和定时关闭
  3. 安全设置,没有了一键锁定(Secure Easy Setup),但是其实自己可以手动把一键锁定的所有设置做完(至少我一直这么做,既是是在用WRT54G的时候),就是会麻烦点。
  4. 无线高级设置里面没有了对QoS的支持,毕竟是定位为家庭用户/SOHO估计一般用不着QoS设置。
  5. 目前没有看到可以更新的固件,GUI界面里有刷新固件的位置,但是网站上没有提供固件下载。

个人感觉,WRH54G的确更适合家庭用户使用,我在使用和设置的时候没有遇到任何的麻烦,以前在WRT54G上用过的功能在新的路由器上都能做出正常设置,而且新设计的向导式界面要比以前的WRT54G更人性化,对于大多数用户来说肯定要好用很多。高级设置界面基本保持了WRT54G的功能。性能上没有感觉,至少满足我一台电脑+一个手机+偶尔一台笔记本同时使用的需要了。

关于我自己

life is simple and easy?

一条评论

一瓶矿泉水0.8元(上午,下午) (x2)
一个面包2元(早饭)
乘一次公交车0.4元(刷卡) (x2)

一个空的矿泉水瓶 0.1元
送一盒饭 1元,2元
组装/卖一台PC机 10元,50元
组建一个小网+配置几台服务器 100元

周末纯属没事折腾给自己做了一次拓展训练。以前老吴曾经给一起学习的兄弟们做过类似训练——5元钱,在中关村生活一天,要求挣至少20元回来。

那次参加训练的都是些没有任何工作经验的还没有毕业的大学生。我听了他们一天之后的感受和他们都“从事”的工作之后有过很长时间的思考——如果我去做类似的实践,我和他们比有什么样的优势,有什么样的不足?周五晚上和朋友聊天聊到了这件事,忽然想自己去实践一下看看自己的思考到底是不是正确的——不能只是空想吧,实践才能检验真理……

生活不是那么容易,如果真的需要放弃很多已经有的资源独自去面对生存。生活有些时候其实也很简单,就像以前曾经有过的感慨一样,不论去做什么事情只要放轻松,不要去考虑太多,自然能表现得更好。penguin go

走向CCIE之路-Security

PIX/ASA的ACL与路由器上的ACL的对比

一条评论

 

PIX/ASA

PIX

Router IOS

Router

ACL的格式

使用netmask

access-list test extended permit ip host 1.1.1.1 120.1.1.0 255.255.255.0

使用wildcard mask

access-list 100 permit ip host 1.1.1.1 120.1.1.0  0.255.255.255

应用ACL

在全局应用

access-group test in interface inside

在接口下应用

Access-group 100 in

作用范围

只对穿越的流量有效,并且只匹配无状态信息的数据包

所有到达该接口的流量都会先经过acl的检查,然后才会送到接口做进一步处理

网络生活-技术及随笔

修改cisco设备接口的流量统计的平均时间

留下评论

R1#sh int fa0/0
FastEthernet0/0 is administratively down, line protocol is down
…<omitted>
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
…<omitted>
R1#   conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int fa0/0
R1(config-if)#load
R1(config-if)#load-interval ?
  <30-600>  Load interval delay in seconds

R1(config-if)#load-interval 600
R1(config-if)#do sh int fa0/0
FastEthernet0/0 is administratively down, line protocol is down
…<omitted>
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  10 minute input rate 0 bits/sec, 0 packets/sec
  10 minute output rate 0 bits/sec, 0 packets/sec
…<omitted>

走向CCIE之路-Security

配置icmp状态检测

留下评论

PIX和ASA在7.x上默认是不检查穿越防火墙的icmp的状态的,这意味着从内向外做出的ping操作只能单向穿越防火墙,被ping设备回应的icmp echo-reply无法穿越防火墙——防火墙会认为这些数据包是来自安全级别低的外网的,不可以穿过。

默认情况下,PIX/ASA 7.x会监控下面这些协议的状态:
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
在PIX/ASA不做任何安全配置的情况下,内网用户是可以正常发起向外的TCP请求,也可以正常使用FTP等需要反向穿越防火墙的协议的(inspect FTP)。使用下面的命令可以实现让内网用户可以收到正常ping到外网的echo-reply回应:
pixfirewall(config)# policy-map global_policy
pixfirewall(config-pmap)# class inspection_default
pixfirewall(config-pmap-c)# inspect icmp

走向CCIE之路-Security

PIX 7.x之后对BGP md5认证穿越如何支持

留下评论

感谢PP提供的资料。 

由于PIX和ASA这样的防火墙为了防止TCP会话劫持通常都会对穿越防火墙的tcp会话序列号做主动的扰乱,而BGP会话如果启用了md5认证会把包头部分作为md5 hash计算的一部分,一旦PIX/ASA主动修改了tcp的序列号,那么作为md5 hash计算部分的包头显然也和以前的不一样了。
这时会在路由器上看到类似下面的信息:
%TCP-6-BADAUTH: Invalid MD5 digest from 源IP:源端口 to 目的IP:179

在6.x上的解决办法是针对启用BGP的路由器禁用TCP序列号扰乱功能:
static (inside,outside) a.b.c.d a.b.c.d netmask 255.255.255.255 norandomseq

在7.x上如果只做类似上面这样的配置是仍然有问题的:如果不做特殊配置,用作BGP md5认证的tcp option19会在穿越7.x版本的PIX/ASA防火墙时被直接"抹平"。为了支持带有md5认证的BGP还需要做出类似下面的配置,以便允许TCP option 19穿越防火墙:
class-map BGP-MD5-CLASSMAP
     match port tcp eq 179
  tcp-map BGP-MD5
     tcp-options range 19 19 allow    
  policy-map global_policy
   class BGP-MD5-CLASSMAP
    set connection advanced-options BGP-MD5 
service-policy global_policy global

更多资料可以参考下面的文档:
1. Sample Configurations of BGP Across a PIX Firewall
2. Guide for Cisco PIX 6.2 and 6.3 Users Upgrading to Cisco PIX Software Version 7.0

 

网络生活-技术及随笔

CVE-2007-2242

留下评论

非常怀疑网络设备同样受到CVE-2007-2242的影响。不知道为什么IPv6也要继续设计一个类似于IPv4的source route选项。Cisco支持IPv6的设备似乎目前也没有类似IPv4上的uRPF的功能,而且文档上也没有看到如何禁止这样的选项,有些不是很好的感觉,要乱套……

 

health关于我自己

I’m ok

留下评论

—–BEGIN PGP MESSAGE—–
Version: GnuPG v1.4.7 (MingW32) – WinPT 1.2.0
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=8YBr
—–END PGP MESSAGE—–

liukang=liukang->next;